Aplikasi pesan WhatsApp memiliki sejumlah celah keamanan yang potensial dimanfaatkan oleh pembajak untuk mengambil alih akun. Namun ada sejumlah cara untuk mengantisipasinya.
Motif peretasan akun itu bisa berbeda-beda. Ada yang sekadar mengetes kehandalan meretas, memeras untuk mendapatkan uang, sakit hati, hingga motif politik.
Sejumlah kasus pembajakan akun WhatsApp pun ramai terjadi terutama terhadap warga yang kritis terhadap pemerintah. Misalnya, pengajar hukum di Sekolah Tinggi Hukum (STH) Indonesia Jentera Bivitri Susanti.
Akun WhatsApp dan media sosialnya diretas sejak Rabu (20/4) malam, jelang aksi demonstrasi mahasiswa dan buruh pada Kamis (21/4). Peretas kemudian mengunggah tudingan kepada pihak partai oposisi.
CNNIndonesia.com merangkum sejumlah modus peretasan akun dari berbagai sumber. Berikut rinciannya:
1. Meminta Pengguna Menelpon Nomor Tertentu
Rahul Sasi, pendiri sekaligus CEO perusahaan AI yang yang berfokus pada keamanan siber, CloudSEk, menjelaskan salah satu trik baru penipu (scammer) dalam membajak akun WhatsApp terbilang sederhana.
Dikutip dari 91mobiles.com, modusnya adalah dengan menelepon target dan meminta pengguna untuk menelepon nomor tertentu. Yakni, **67* atau *405*.
Jika pengguna menekan nomor tersebut, peretas dapat dengan mudah mengambil alih akun WhatsApp targetnya.
“Karena penyedia layanan di seluruh dunia menggunakan nomor yang dimulai dengan ’67’ atau ‘405’, para korban biasa melakukan panggilan tanpa ragu-ragu,” kata Rahul.
“Dengan cara ini, penyerang menipu kontak WhatsApp korban bahkan sebelum korban menyadari bahwa mereka telah kehilangan kendali atas akun mereka,” lanjutnya.
Sebenarnya ini bukan trik baru dalam dunia scammer. Cara terbaik untuk menghindari ancaman tersebut adalah dengan mengaktifkan verifikasi dua langkah di akun WhatsApp Anda dan mengatur kata sandi atau PIN untuk masuk.
2. Menyamar sebagai Teman atau Tim Dukungan WhatsApp
Modus ini biasanya merupakan pembajakan lanjutan usai membajak suatu akun WhatsApp. Dikutip dari situs Badan Keamanan Siber Singapura (CSA), scammer mengambil nomor-nomor kontak yang didapat dari akun WhatsApp yang sudah dibajak.
scammer kemudian mencoba mengambil alih pula akun WA milik kontak-kontak itu. Caranya dengan mendaftarkan nomor telepon pengguna yang ditargetkan ke WhatsApp baru di ponselnya sendiri.
Pada saat itu, pengguna WhatsApp asli akan menerima SMS yang berisi kode pendaftaran 6 digit dari WhatsApp. Pembajak lantas menyamar sebagai teman atau sebagai tim dukungan WhatsApp untuk meminta kode pendaftaran dikirimkan kepada mereka.
Jika terkecoh, maka bersiaplah tak bisa mengakses lagi akun WhatsApp Anda.
3. Promosi Belanja Online Palsu
Penipu juga dapat menggunakan akun WhatsApp yang dibajak untuk mengirim pesan ke pengguna yang ditargetkan dengan informasi palsu tentang promosi di platform e-commerce atau belanja daring.
Misalnya, undian khusus ulang tahun atau flash sale. scammer lantas mengelabui pemilik akun dengan memintanya mengirimkan kode verifikasi registrasi yang dikirimkan WhatsApp ke SMS pengguna sebagai kode promosi.
4. Pesan Suara dengan Kata Sandi Default
Pembajak juga dapat melewati proses verifikasi dengan menggunakan pesan suara korban. Untuk melakukannya, scammer berulang kali gagal memverifikasi kode pendaftaran satu kali WhatsApp.
Kegagalan verifikasi berulang akan membuat WhatsApp meminta pengguna untuk melakukan “verifikasi suara”. WhatsApp akan menelpon pengguna dan kode verifikasi satu kali akan dibacakan dalam pesan audio.
Scammer, yang sengaja memilih waktu malam untuk beroperasi, punya banyak waktu untuk beraksi saat pemilik akun mematikan telepon atau berada jauh dari ponselnya. Ia kemudian akan mengalihkan pesan WhatsApp itu ke voicemail korban.
Masalahnya, sebagian besar penyedia telekomunikasi mengizinkan akses jarak jauh dan menggunakan kata sandi default untuk pesan suara. Pembajak pun bisa dengan mudah meretas akun pesan suara dan memulihkan pesan audio yang berisi kode untuk masuk ke akun korban.
Setelah mendapatkan akses, scammer dapat mengaktifkan verifikasi dua langkah, yang akan mencegah korban mendapatkan kembali kendali atas akun WhatsApp-nya. Pembajak akun pun dapat melihat daftar kontak WhatsApp korban untuk menemukan target baru.
Untuk mengamankan Akun WhatsApp, pengguna disarankan untuk mengambil tindakan pencegahan yang diperlukan untuk melindungi diri mereka dari menjadi korban serangan tersebut.
Pertama, aktifkan fitur ‘Verifikasi Dua Langkah’, yang terdapat di bawah tab ‘Pengaturan’ aplikasi WhatsApp Anda. Pengguna bisa mengaktifkan opsi alamat email cadangan.
Kedua, ubah PIN pesan suara default Anda. Hal ini bisa dilakukan dengan menghubungi operator seluler Anda masing-masing.
Ketiga, jangan bagikan kode verifikasi akun WhatsApp atau One-Time Passwords (OTP) Anda kepada siapa pun.
Jika Anda telah menerima pesan yang mencurigakan dari kontak atau orang asing melalui WhatsApp, jangan menanggapi pesan tersebut, terutama jika pengirim pesan meminta OTP atau kode untuk dikirim kembali kepada mereka. Jangan mengklik tautan apa pun atau memberikan informasi pribadi.
Keempat, verifikasi keaslian pesan melalui cara alternatif, misalnya menelepon kontak tersebut. Jika pesan mencurigakan berasal dari nomor yang tidak dikenal, laporkan nomor tersebut ke WhatsApp secara langsung.
Jika Anda telah menjadi korban pembajakan WhatsApp, Anda mungkin ingin masuk kembali ke akun WhatsApp Anda menggunakan nomor telepon Anda. Ini akan memicu kode registrasi baru melalui SMS.
Setelah kode registrasi dimasukkan, scammer akan logout. Jika scammer mengaktifkan verifikasi dua langkah, Anda mungkin harus menunggu 7 hari sebelum dapat masuk tanpa PIN verifikasi dua langkah. Bagi korban yang lebih memilih untuk menghapus dan menginstal ulang WhatsApp, riwayat obrolan akan dihapus kecuali ada cadangan sebelumnya yang berfungsi.
